买专利卖专利找龙图腾，真高效！ 查专利查商标用IPTOP,全免费！专利年费监控用IP管家,真方便！

申请/专利权人：交通银行股份有限公司

摘要：本发明涉及一种证书预植系统及其方法，该系统包括key厂商、证书预植机构和银行CA机构，银行CA机构颁发设备证书的根证书给key厂商；key厂商生产预植有设备证书的key设备，并将该key设备发送到证书预植机构；证书预植机构向银行CA机构发送包含签名的用户证书请求，由银行CA机构签发用户证书给证书预植机构，并由key设备将用户证书及设备证书进行比对，以完成用户证书预植过程。与现有技术相比，本发明通过在key设备中预植设备证书，在生成证书请求时将申请的证书的序列号与设备序列号进行比对、在签发证书时将申请的证书的序列号与设备序列号进行比对、在下载证书时将用户证书的序列号再次与设备序列号进行比对，以此有效防止非法下载用户证书的行为。

主权项：1.一种证书预植方法，应用于一种证书预植系统，其特征在于，该证书预植系统包括key厂商1、证书预植机构2和银行CA机构3，其特征在于，所述银行CA机构3用于颁发设备证书的根证书给key厂商1；所述key厂商1与证书预植机构2连接，用于生产预植有设备证书的key设备，并将该key设备发送到证书预植机构2；所述证书预植机构2与银行CA机构3双向连接，用于向银行CA机构3发送包含签名的证书请求，由银行CA机构3签发用户证书给证书预植机构2，并由key设备将用户证书及设备证书进行比对，以完成用户证书预植过程；证书预植方法包括以下步骤：S1、银行CA机构颁发设备证书的根证书给key厂商；S2、key厂商根据设备证书的根证书，生产预植有设备证书的key设备，并将生产的key设备发送到证书预植机构；S3、证书预植机构从key设备中获取包含签名的用户证书请求，并将该包含签名的证书请求发送给银行CA机构；S4、银行CA机构对证书请求进行验签，并进行序列号比对操作，若验签通过，且序列号比对成功，则银行CA机构签发用户证书给证书预植机构，否则结束证书预植过程；S5、证书预植机构将银行签发的用户证书写入key设备中，key设备将用户证书的序列号与设备证书的序列号进行比对，若比对成功，则key设备下载用户证书，否则结束证书预植过程；其中，步骤S2具体包括以下步骤：S21、key厂商根据设备证书的根证书，在生产的key设备中预植设备证书，其中，设备证书DN中包含设备序列号；S22、key厂商将生产的key设备发送到证书预植机构；步骤S3具体包括以下步骤：S31、key设备将证书预植机构申请的证书与设备证书进行DN中序列号的比对，若比对成功，则key设备生成包含签名的证书请求P10，否则结束证书预植过程；S32、证书预植机构从key设备中获取包含签名的证书请求P10，之后调用银行签发证书的接口，以将包含签名的证书请求P10发送给银行CA机构；步骤S4具体包括以下步骤：S41、银行CA机构对证书请求P10进行验签，若验签通过，则银行CA机构从签名中获取设备证书的DN、从证书请求P10中获取证书预植机构申请的证书的DN，否则结束证书预植过程；S42、银行CA机构将设备证书DN中的设备序列号与申请的证书DN中的序列号进行比对，若比对成功，则银行CA机构签发用户证书给证书预植机构，否则结束证书预植过程；由此，证书预植机构2无法脱离key设备获取银行签发的用户证书，即证书预植机构2不能自己生成一个公私钥对到银行签发用户证书，银行签发证书时校验设备证书签名并比对设备序列号，设备证书只存在于key设备中，证书预植机构2在没有key设备的情况下不能调用银行接口下载证书，key厂商1保证key设备中不能导出私钥，证书预植机构2下载用户证书后，只能把该用户证书导入key设备中，无法获取该用户证书对应的私钥，证书预植机构2也不能获取带私钥的银行用户证书。

全文数据：

权利要求：

百度查询： 交通银行股份有限公司 一种证书预植系统及其方法